잇단 대형 해킹사고, 정부 '그립'은 강해져…보안 B+학점
지난해 6월 출범한 이재명 정부는 '진짜 성장'을 내세웠다. AI로 경제·사회·기술 대전환을 꾀해 국가발전과 국민행복이 선순환되는 시대를 열겠다는 것이다. 지난해 하반기부터는 30대 선도프로젝트가 가동되기 시작했으며 각 경제·산업 분야에서 AI 대전환이 진행 중이다. 일단 스타트는 좋다. AI 붐을 등에 업고 코스피 7000 시대가 열렸다. 하지만 미국·이스라엘-이란 전쟁으로 인한 고유가·고물가·고환율 리스크가 AI 대전환의 발목을 잡고 있다. 지디넷코리아는 창간 26주년을 맞아 이 격변의 시점에 있는 대한민국 산업 현장을 진단하고, 각 분야 전문가들과 함께 'AI 시대, 이재명 정부 1년'을 평가했다. [편집자주] 2025년 4월, 대한민국은 SK텔레콤 유심(USIM) 정보 유출이라는 초대형 보안사고가 터졌다. 이로부터 약 40여일 후인 작년 6월 4일 이재명 정부가 출범했다. 새 정부 출범 후에도 대형 보안사고가 잇달았다. 이재명 정부 출범 5일 후인 작년 6월 9일 예스24가 랜섬웨어 공격을 받아 홈페이지·앱·전자책·티켓 서비스가 대규모로 마비됐다. 이어 작년 8월 말~9월 초 KT의 불법 초소형 기지국(펨토셀)을 악용한 해킹으로 가입자 2만2227명의 개인정보가 유출되는 사고도 일어났다. 예스24와 KT 이후에도 롯데카드, SGI서울보증, 쿠팡에서도 태풍급 보안사고가 연달아 일어났다. 대형 보안사고가 이어지면서 이재명 정부는 규제 '그립'을 세게 쥐었다. 민간 사이버보안을 책임진 과기정통부와 개인정보보호 파수꾼인 개인정보보호위원회(개보위)가 잇달아 규제 강화책을 내놓았다. 올 1월 말 과기정통부는 20개 주요 실행과제로 이뤄진 '제2차 정보보호 종합대책'을 발표했다. 개보위는 지난 12일 대통령 주재 국무회의에서 '예방 중심 개인정보 관리체계 전환 계획'을 보고, 주요 공공시스템과 대규모 개인정보를 처리하는 약 1700개 고위험 시스템을 정부가 직접 정기점검을 하겠다고 선언했다. 이재명 정부는 지난해 공약집 등을 통해 사이버위협 대응 방안으로 ▲망 중심에서 데이터 중심의 정보보호 체계 전환 ▲침해사고 발생 시 명확한 책임 부과 ▲정보보호 공시제도 강화 추진 등을 제시한 바 있다. 일각에서는 정부의 강력한 보안 정책 드라이브로 우리나라 사이버 보안 펀더멘털이 한층 단단해질 것이라고 기대한다. 하지만 현장의 고질적인 구조적 결함을 먼저 해소하지 않은 채 밀어붙이기식 의무화만 강조한다면 산업계의 반발과 혼선은 불가피하다. 오랜 기간 체질 개선을 이루지 못한 사이버 보안 분야는 정부의 강력한 드라이브에도 불구하고 개선해야 할 부분이 포착됐다. 본지가 이재명 정부 출범 1주년을 맞아 정보보호 분야 산학연 전문가 50명에게 물은 결과, 평균 B+ 점수가 나왔다. 사이버보안과 개인정보보호 강화를 위한 잇달은 조치를 환영하면서도 "기업과 기관만 옥죄이는 것 아니냐"는 비판적인 시각과 함께 기업은 물론 보안 생태계의 한 축을 이루는 개인과 국가를 둘러싼 보안 생태계 전반이 건강해져야 한다는 것이다. 국가 망분리 대전환 'N2SF' 첫발…"정부 도입 의지 확인" 이달 초부터 국가정보원의 '국가 사이버보안 기본 지침'이 개정·시행됐다. 정보보안 체계가 레거시 IT를 넘어 AI, 클라우드 등 첨단 디지털 환경으로 전환함에 따라 선제적인 위험 관리 체계를 제도화하겠다는 것이 지침의 골자다. 가장 큰 변화는 '국가 망보안 체계(N2SF)' 시행이다. 개정에 따라 기존 지침 제 40조에 명시되었던 내부 업무망과 인터넷망의 일률적 분리 의무가 사라졌다. 본격적인 N2SF가 시행된 것이다. 그간 업무망(내부망)과 외부망은 물리적으로 분리돼 있어 외부 오픈소스나 인공지능(AI), 클라우드 등 신기술을 활용하는 데 제약이 있었다. 특히 코로나19 시기 재택 근무가 잦아지면서 외부망 접근 필요성이 대두됐고, 생성형AI 등장으로 공공 부문 디지털 혁신이 필요해졌다. 국가정보원 주도로 N2SF로 보안 패러다임을 전환할 것을 지난해부터 가이드라인 발표 등 사전 작업을 진행했다. N2SF는 기존 물리적 망분리 원칙을 데이터 중요도에 따라 차등적인 보안 시스템을 적용하는 체제로 전환하는 프레임워크다. 업무정보를 기밀(C)·민감(S)·공개(O) 등급으로 분류하고, 등급에 따라 도메인·정보시스템·보안통제를 차등 적용하도록 제시했다. 공공정보의 보안성과 활용성을 높이겠다는 목적이다. 그러나 현장에서는 어떤 데이터를 S 또는 O로 분류해야 하는지에 대한 세부 사례와 적용 기준이 모호하고, 일일이 적용하는 데 어려움이 있다는 지적이 제기됐다. 지난해부터 정부가 1년 가까이 추진하고 있지만 현장에서는 혼선이 반복되고 있는 것이다. 그럼에도 전문가들은 N2SF를 국가 최상위 보안 지침에 반영하는 등 당국의 노력은 고무적이라고 평가했다. 최영철 SGA솔루션즈 대표는 "지난해까지만 해도 N2SF에 대한 관심은 일부 공공기관에 그쳤지만, 5월부터 국가 사이버보안 기본 지침에 N2SF가 반영되면서 적용 대상이 모든 공공기관으로 확대됐다. 100명 중 20명만 관심을 가졌다면 이제는 100명 중 100명 모두 N2SF에 관심을 갖게 된 것"이라며 "국가정보원에서 C·S·O 등급 분류 체계에 대한 가이드라인도 마련하는 등 세밀한 준비가 뒷받침된다면 향후 N2SF 안착을 긍정적으로 보고 있다. 현 시점에서 N2SF 관련 정책 도입 현황은 'A' 등급으로 평가할 수 있겠다"고 밝혔다. 다만 최 대표는 "이제 본격적으로 시행하는 제도인 데다 예산 투입과 정부 대응이 중요한 분야인 만큼 향후 현장에서 요구하는 가이드라인이 늦게 발표되거나 정부의 지원이 미흡하다고 판단되면 N2SF 도입에 대한 개인적인 평가는 낮아질 것"이라고 말했다. 이재형 옥타코 대표는 보안업계 현장에서 N2SF 관련으로 겪는 현실적인 어려움에 대해 설명했다. 이 대표는 "보안 현장에서 N2SF 도입 시 C·S·O 등급 분류를 가장 어려워한다"며 "예를 들면 복지 분야 데이터는 상당히 민감한 데이터가 많은데 C·S·O 등급 분류와 법률 간 일부 맞지 않는 부분이 있다. 이처럼 C·S·O 등급 분류가 상대적으로 복잡한 분야에 있어 예외 조항 등 가이드라인이 더 세밀하게 짜여질 필요가 있다"고 말했다. 그는 "현장에서 겪는 어려움이 가이드라인에 조속히 반영돼야 N2SF 체계가 빠르게 안착할 수 있을 것"이라며 "자산 파악 후 데이터 등급 분류하고, 보안 대책을 취하는 일련의 과정들을 어떻게 처리해야 하는지 아직도 어려워 하는 조직이 많다"고 N2SF 도입 을 B-로 평가했다. 보안 인증·공시 '자율→강제' 전환…'형식주의' 탈피 현재 개정 추진 중인 정보보호산업의 진흥에 관한 법률(정보보호산업법)' 시행령안에 따르면 내년부터 정보보호 공시 의무 대상이 코스피·코스닥 전체 상장사로 확대된다. 기존에는 매출액 3000억 원 이상 상장사가 대상이였다. 정보보호 공시제도는 정부가 국민의 안전한 인터넷 이용과 기업 정보보호 투자 활성화를 위해 일정 규모 이상 기업을 대상으로 시행한다. 정보보호 투자와 전담 인력, 관련 활동 등 기업의 정보보호 현황을 의무 공개하는 제도다. 국민에게 기업의 보안 수준을 투명하게 공개해 자율적 경쟁을 유도하기 위한 제도다. 과학기술정보통신부(과기정통부)에 따르면 올해 총 693개사가 정보보호 공시 의무 대상으로 확정됐다. ISMS-P 인증 역시 의무 대상을 늘린다. 지난 4월 개인정보보보위원회(개인정보위)와 과기정통부는 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 통해 ▲주요 공공시스템운영기관 ▲이동통신사업자 ▲본인확인기관 ▲대규모 개인정보처리자 등을 대상으로 ISMS-P 인증 제도를 의무화 했다. ISMS-P 인증을 받은 기업이 침해사고를 당하면서 자율에 맡겼던 인증 제도의 실효성이 없다는 지적이 이어짐에 따라 강제성을 부여한 것이다. 기업들이 정보보호 분야에 얼마나 투자하고 있는지 모든 국민이 알 수 있게 함과 동시에 ISMS-P 인증을 획득해야 하는 기업을 늘림으로써 자체적으로 보안에 더욱 투자를 확대할 수 있도록 조치한 것으로 풀이된다. 전문가들은 민간의 정보보호 투자 활성화를 위한 ISMS-P 인증 의무화, 정보보호 공시 의무 대상 확대는 긍정적이지만, 정부의 투자 확대 의지 또한 뒷받침돼야 한다고 주장했다. 한국정보보호학회 회장을 맡고 있는 김호원 부산대 컴퓨터공학과 교수는 "지난해 초까지만 하더라도 ISMS-P 인증 위원으로 활동했지만 최근 그만뒀다. ISMS-P 인증이 너무 형식적으로 흘러간다는 생각이 들었다. 3월께부터 한 번도 평가위원에 합류하지 않았다"면서도 "그러나 최근 정부에서 ISMS-P 인증 강화를 통해 주관기관인 한국인터넷진흥원(KISA) 등 정보보호 관련 기관에 힘을 실어준 점은 긍정적으로 평가할 수 있다"고 말했다. 이어 김 교수는 "그러나 이재명 정부가 '독자 AI 파운데이션 모델 사업'에만 너무 많은 관심이 몰려 있고, AI 모델 및 AI를 악용한 공격을 방어할 보안 분야에는 예산 등 정부의 투자 의지가 부족하다"면서 "AI 보안 이슈가 계속해서 부각되는 상황에서 정부가 보안 분야에 보다 적극적으로 예산을 투입할 필요가 있다"며 B로 평가했다. 이용준 극동대 해킹보안학과 교수는 "ISMS-P 인증 실무 기관의 역량이 중요한데, 인증 의무화 대상 확대로 추가되는 기업 수가 300개 이상이다. 기존 인증기업까지 포함해 심층 점검을 진행하기 위해서는 많은 리소스가 투입돼야 하는데, 현실성이 전제돼야 한다"며 "추가로 심사원 역량 강화와 기술적 점검 도구에 대한 지속적인 개선이 필요하다"고 강조했다. '매출액 10%' 초강수 채찍…심도 있는 분석 미흡 보안 패러다임 전환, 보안 공시·인증의 의무화에도 불구하고 반복적이거나 중대한 침해사고를 입은 기업에 대한 징벌적 과징금 부과도 주목할 만한 대목이다. 앞서 개인정보위는 지난 12일 오는 9월부터 중대한 개인정보 유출 사고를 낸 기업에 매출액의 최대 10%(현행 3%)까지 과징금을 부과하는 '징벌적 과징금' 제도를 시행한다고 밝혔다. 개정안은 반복적이거나 중대한 개인정보 침해 사고에 대한 제재 수위를 대폭 높였다. 적용 대상은 고의 또는 중과실로 3년 안에 같은 유형의 사고를 반복한 경우, 혹은 1000만명 이상 개인정보 유출 피해가 발생한 경우 등이다. 처벌 수위를 높임으로써 기업들이 더욱 경각심을 갖고 보안에 주의를 기울일 수 있도록 하기 위함으로 보인다. 그러나 표면적으로 드러난 사고 대응에만 집중한 제도일 뿐, 심도 있는 분석을 기반으로 정책을 마련했다고 보기에는 어렵다는 지적도 나왔다. 국가정보원 3차장을 지낸 김선희 가천대 스마트보안학과 초빙교수는 "어떤 사고에 대한 분석이 이뤄지고 난 이후 정책을 수립한 것이 아니라, 급한대로 사고에 대응하다 보니 형식적인 제도가 계속해서 나오고 있는 것으로 보인다"며 "국내 기업의 자체 잘못으로 인해 사고가 났으면 과징금을 매출액의 10%가 아니라 더 부과해도 마땅하지만, 외부 침해에 의한 사고면 과징금 기준이 달라야 한다. 이는 기업만의 문제가 아니다. 정부나 다른 이해관계자 등 각 주체의 책임 소재를 명확히 따져본 뒤 기업에 책임을 부과해야 하는데, 일방적으로 사고가 발생하면 기업이 모든 책임을 뒤집어 쓴다"고 말했다. 그는 "보안 투자가 부족하다는 인식 아래 인증, 공시 등을 의무화하고 있는데 정작 규모가 큰 기업들은 보안에 투자를 적게 하고 있지는 않다"며 "문제는 중소기업들인데, 이들은 보안에 투자할 여력도 없고 침해사고가 발생하면 그대로 당할 수밖에 없다. 그럼에도 과징금을 매긴다면 사고가 발생하더라도 어떻게든 숨기려할 것"이라고 부연했다. 김 교수는 매출액의 10%에 달하는 징벌적 과징금 제도를 'B'등급으로 평가했다. 과징금을 부과하는 것뿐 아니라 어떻게 활용할지에 대한 논의도 필요하다는 주장이 제기됐다. 염흥열 순천향대 정보보보학과 명예교수는 "매출액 10%에 달하는 과징금을 어떻게 사용할 지에 대한 논의는 잠깐 부각됐다가 현재 소강 상태"라며 "중소기업이나 사이버보안 분야 발전에 활용될 수 있는 기금 등의 형태로 지원이 이뤄져야 한다"고 강조했다. 이어 염 교수는 이재명 정부가 추진하는 사이버보안 정책이 지난 정부에 이어 다시 기틀을 잡아가는 과정이며, 향후 정책 방향성을 잡아가는지에 주목할 필요가 있기 때문에 당장은 A등급으로 평가했다. '미토스'에 발빠르게 대응한 과기정통부...곧 나올 새 정보보호 대책에 시선 미국 AI 전문기업 앤트로픽이 개발해 지난달 7일 공개한 AI모델 '미토스(Mythos)'가 가공할 보안 능력으로 미국 등 전세계에 경각심을 주고 있다. '미토스'에 대한 우리 정부의 대응책은 빨랐다. 미토스가 정식 발표된 지 일주일후인 지난달 14일 정부는 청와대 국가안보실은 민·관·군 주관 부처에 긴급 대응을 주문했고, 과기정통부는 각 기업 정보보호 최고책임자(CISO)에 AI를 활용한 보안 위협에 주의하고 각사별로 긴급 보안점검을 실시할 것을 당부하는 한편 AI를 활용한 특이 공격 발생 시 한국인터넷진흥원과 상황을 공유할 것을 요청했다. 또 이날 오후 류제명 제2차관 주재로 통신 3사 및 주요 플랫폼사(네이버, 카카오, 우아한형제들, 쿠팡 등) 정보보호 최고책임자와 긴급 현안점검회의를 개최, AI 고도화에 대한 사이버보안 대비태세 점검과 보안 체계 변화 동향을 예의주시하도록 당부했다. 뿐만 아니라 최우혁 정보보호네트워크정책실장도 같은 날 오후 국내 AI 보안전문가와 현안점검회의를 개최, '글래스윙' 프로젝트와 AI 보안서비스의 내용 및 수준, 국내에 미치는 영향 등에 대해 전문가 의견을 청취하고 대응방향 등을 논의했다. 류 차관은 지난달 16일 서울 삼성동 코엑스에서 열린 '제32회 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 축사를 하며 미토스((Mythos)에 대해 "우리 사회에 새로운 숙제를 줬다"며 또 한번 보안 주의를 환기시키는 한편 20일에는 한 행사에서 "글래스윙 프로젝트 참여를 타진중"이라고 밝혔다. '글래스윙' 프로젝트는 50개 안팎 미국 기업 및 기관에만 '미토스'의 보안 기능을 베타 테스트할 수 있는 권한을 준 것을 말한다. 이어 이번달 8일에는 배경훈 부총리가 직접 주재한 미토스 대응 산학연 보안전문가 간담회가 열렸다. 당시 간담회에는 SKT, 업스테이지, 모티프테크놀로지스 등 독자 파운데이션 모델 개발 참여기업과 주요 AI 기업, 김호원 한국정보보호학회장과 김진수 한국정보보호산업협회장 등이 참석해 의견을 내놨다. 당시 과기정통부는 "우리 사회 정보보호 패러다임을 AI기반 보안으로 서둘러 대전환해야 한다"고 강조했다. 산업계 시선은 과기정통부가 조만간 발표할 제 3차 정보보호 종합대책에 쏠린다. 2차 종합대책은 올 1월말 나왔다. 장일수 스패로우 대표는 "작년에 잇달아 일어난 대형 보안사고로 국내 보안시장 규모가 커질 것으로 보인다"면서 "미토스 등장으로 국내외 보안 시장이 새로운 환경을 맞았는데, 정부의 새 종합대책이 국내 보안산업계의 체질을 강화하는 계기가 됐으면 좋겠다"고 밝혔다.
